«È stato predisposto un nuovo server aggiornato e sicuro; è stata installata l’ultima versione del software di gestione dei contenuti che al momento non presenta vulnerabilità; è stato installato un software aggiuntivo che controlla l’integrità del sistema a vari livelli ed è in grado di bloccare eventuali attacchi». Intervistato da OggiScienza, il Direttore dell’ANVUR Sandro Momigliano risponde in questo modo a chi gli domanda quali provvedimenti siano stati presi per difendere il sito dell’Anvur dalle intrusioni in atto da diversi mesi. Tutto finalmente sotto controllo, allora? Non proprio. Basta curiosare un po’ sulle pagine del sito dell’agenzia e ci si imbatte in un “best essay writing service” con tanto di link al sito writemypaperinca.com dove la domanda «What is Writemypaperinca.com and why pay to write my paper?» trova una risposta molto chiara: «Creative writing can be tough. Tired of essay writing? Get speedy help with your assignments». Il servizio a pagamento risolve i problemi di chi deve svolgere compiti a casa, scrivere articoli, tesi e persino articoli scientifici. Potrebbe essere interessante commissionare la scrittura di una tesi sulla sicurezza informatica dei siti web e anche quella di un manuale su come gestire un’agenzia di valutazione.
Con questo articolo inauguriamo la rubrica “Il nostro spamvur quotidiano” dedicata al censimento dello spam anvuriano.
Precedenti articoli sullo stesso argomento:
- “Buy VQR”, la pillola azzurra della valutazione
- Un viagra vi seppellirà: l’ANVUR vittima dei suoi stessi algoritmi
- Vai sul sito ANVUR? Uno script maligno registra il tuo profilo e lo manda a Singapore
Il 18 aprile, poche ore dopo la pubblicazione su Roars dell’articolo che segnalava la presenza di uno script maligno che registrava il profilo degli utenti e lo inviava ad un sito sospetto a Singapore, l’ANVUR ha messo nuovamente fuori servizio il suo sito web lasciando in vista solo questo laconico messaggio:
Il sito è tornato in funzione il 20 aprile. Come ci informa la stessa agenzia, funzionalità e grafica non sono ancora definitive:
La manutenzione straordinaria effettuata sul sito ANVUR ha comportato l’aggiornamento del software di gestione dei contenuti e della grafica. Ne sono derivate modifiche nella visualizzazione del sito e possibili difficoltà nella navigazione interna, che speriamo di risolvere in tempi molto brevi. Ci scusiamo per gli eventuali disagi.
Per saperne qualcosa di più, si può leggere l’intervista di Michela Perrone a Sandro Momigliano, Direttore dell’ANVUR, apparsa sul blog di OggiScienza:
Hacker contro il sito Anvur: “Nessun rischio per i dati”
Correttamente, viene ricordato che il sito dell’agenzia «è stato oscurato per 17 giorni, dal pomeriggio di lunedì 3 aprile fino al 20 dello stesso mese, con una fugace apparizione nella giornata di martedì 18». Viene anche ripresa la preoccupazione, manifestata da Dario Braga (Anvur tra manipolazione e troppi parametri, Sole 24 Ore, 12.04.2017) che le “attività sospette di alterazione dei contenuti” (così le aveva definite l’ANVUR) riguardassero il database delle valutazioni della ricerca. Un’eventualità esclusa da Momigliano, secondo il quale «È una paura infondata perché sul nostro sito non ci sono informazioni sensibili, che sono invece conservate nei server del Cineca».
Desta perplessità il tentativo di attribuire la responsabilità del disservizio alla carenza di fondi:
Tutti i siti web sono vulnerabili e come agenzia pubblica abbiamo risorse limitate da dedicare alla sicurezza informatica, che comunque abbiamo potenziato
A suo tempo, avevamo mostrato che il bilancio 2014 dell’agenzia destinava più di un milione e mezzo di euro, ossia più del 10% delle uscite totali, a “esperti di elevata professionalità”, riservando più di 110.000 Euro per “esperti” nei servizi generali.
Le rassicurazioni di Momigliano proseguono così:
Sul sito Anvur non esiste un’area riservata in cui sono conservati documenti privati, è tutto in chiaro [talmente in chiaro che nel 2014 su 92 delibere ne erano state rese pubbliche solo tre, NdR]. In questo senso il problema è relativo: trattandosi di materiale riproducibile e di dominio pubblico l’attacco non ha creato danni da questo punto di vista.
Michela Perrone blocca Momigliano, facendogli notare che «Venerdì 21 aprile sul sito Anvur compariva però la dicitura “Area Riservata”» [abbiamo verificato anche noi e, come vedete qui sotto, la dicitura “Area Riservata” che compare in home page rimanda alla maschera di accesso all’area stessa, con tanto di recupero password, NdR].
Il Direttore dell’Agenzia ha la risposta pronta:
Per il nuovo sito abbiamo usato un template standard che i nostri tecnici stanno provvedendo a ripulire e personalizzare. La scritta che compare sarà eliminata nella versione definitiva del sito.
In molti si saranno domandati chi abbia la responsabilità della sicurezza informatica del sito ANVUR. Cosa dice Momigliano?
Nel mese di gennaio abbiamo affidato a una società di Pisa, la Informatica Umanistica Srl, l’incarico di un restyling grafico e un aggiornamento del sito. Dopo quanto accaduto, abbiamo chiesto loro di seguire anche la parte della sicurezza informatica e questo è quanto sta avvenendo.
Rimane oscuro chi seguisse in precedenza la sicurezza informatica e se la società incaricata del restyiling abbia le competenze necessarie, visto il fermo, durato più di 15 giorni.
Di particolare interesse la risposta del Direttore ANVUR alla domanda “L’ipotesi della presenza di uno script che profila i visitatori è reale?“. Come ricorderanno i nostri lettori, Pietro De Nicolao, non solo aveva individuato lo script nella home page dell’agenzia, ma lo aveva dissezionato, giungendo alle seguenti conclusioni:
sul sito di ANVUR c’è uno script di terze parti (spammer, a giudicare dal profilo di VirusTotal), che:
1. profila i visitatori in base alle informazioni fornite dal browser e dalla connessione
2. visualizza delle pubblicità, i cui profitti probabilmente andranno nelle mani degli spammer
3. imposta un cookie di terze parti sul browser dell’utente
Ecco la risposta di Momigliano:
Durante la navigazione sul web ogni utente è profilato, a partire dalle ricerche su Google per arrivare alla navigazione all’interno del sito. Per questo motivo, con questo intervento, è stato innalzato il livello di sicurezza del sistema per impedire a eventuali terze parti di accedere al nostro sito a nostra insaputa.
Una risposta che elude il cuore della domanda: lo script era presente o no? È pure sconcertante che di fronte ad una profilazione eseguita da terze parti attraverso uno script maligno che invia i dati ad un indirizzo IP sospetto, si sposti il discorso sulla pervasività dei tentativi di profilazione. Possibile che Momigliano sia all’oscuro della “cookie law” prescritta dal Garante della Privacy? Riguardo all’innalzamento del livello di sicurezza, Google non se n’è ancora accorto. Ancora oggi, se cercate “www.anvur.org” su Google, venite avvisati che il “sito potrebbe essere compromesso”.
E per il futuro?
È stato predisposto un nuovo server aggiornato e sicuro; è stata installata l’ultima versione del software di gestione dei contenuti che al momento non presenta vulnerabilità; è stato installato un software aggiuntivo che controlla l’integrità del sistema a vari livelli ed è in grado di bloccare eventuali attacchi.
Tutto risolto insomma? Proviamo a controllare.
Abbiamo curiosato un po’ sulle pagine del sito dell’agenzia e abbiamo trovato un “best essay writing service” con tanto di link al sito writemypaperinca.com dove la domanda «What is Writemypaperinca.com and why pay to write my paper?» trova una risposta molto chiara: «Creative writing can be tough. Tired of essay writing? Get speedy help with your assignments». Il servizio a pagamento risolve i problemi di chi deve svolgere compiti a casa, scrivere articoli, tesi e persino articoli scientifici.
Potrebbe essere interessante commissionare la scrittura di una tesi sulla sicurezza informatica dei siti web e anche quella di un manuale su come gestire un’agenzia di valutazione.
Probabilmente si ostinano (avendo capito poco o nulla di quanto successo) a curare i sintomi lasciando lì la causa che “rigenera nuovi sintomi” :D …
scorrere la pagina verso il basso
http://www.anvur.org/index.php?id=1142&lang=it
http://www.anvur.org/index.php?id=1143&lang=it
e fin quando non correggono si vede anche “Lara Croft” ;)
http://www.anvur.org/index.php?id=1141&lang=it
Non si capisce cosa debbano ancora combinare per essere costretti a dimettersi.
Nel terzo link indicato da sandroamt c’è un simpatico rimando ad un quanto mai opportuno sito che offre “Cheats and Hacks”
http://easy-hayday.com/
In italia non viene mai fatto cadere nessuno, e tantomeno si dimette spontaneamente, anche di fronte alle evidenze negative più madornali e grottesche.
Regole di etica nazionale (forse però, più che di etica, sarebbe più calzante parlare di “costume”, ovviamente pensando a Pulcinella e Arlecchino). Gli anvuriani ne hanno goduto e continueranno indefinitamente a goderne come tantissimi altri
mha, non si è dimesso nessuno per “problematiche di merito” circa i ruoli specifici di anvur, la vedo dura che per un banale hack si dimetta qualche vertice!
Al più verrà fatta cadere la testa di qualche sistemista (magari “outsourcizzato”) o giù di li, immagino già la polizia postale al lavoro per “stanare” chi non ha impostato le corrette policy nel marchingegno ;)
Oso supporre che qualche informatico trombato all’ASL si stia vendicando…
“trombato all’ASN” presumo volesse dire franco. No, non sembra questa la spiegazione. Tutto molto più banale, come avevamo già spiegato a suo tempo:
____________________
«Tutto lascia pensare che a sfigurare il sito dell’agenzia non sia stato un vendicatore mascherato, ma un bot malevolo, uno di quei programmi che scandagliano il web alla ricerca di siti vulnerabili. Gestire il proprio sito web con un software non aggiornato, le cui vulnerabilità sono arcinote, è come lasciare aperta la porta di casa. Ed eccco che un bot ne ha approfittato per infarcire le pagine dell’Anvur con link a siti che vendono rimedi per la disfunzione erettile.
A che scopo? L’età media dei docenti universitari italiani è particolarmente alta, ma nessuno si aspettava che si sarebbero gettati in massa ad esaurire le scorte delle prodigiose pillole azzurre. Il vero scopo di queste intrusioni è manipolare le classifiche di Google. Infatti, per finire ai primi posti nei risultati delle ricerche degli utenti, bisogna avere un punteggio alto. E questo punteggio, il cosiddetto PageRank, sale quando un sito è “citato” da molti altri siti. Se il sito web di Anvur contiene molti link ai siti di venditori di Viagra, questi ultimi guadagnano punteggio e risultano più visibili nei motori di ricerca. In un mondo ideale, un sito web è linkato da un altro sito perché ritenuto interessante. Nel mondo reale, c’è chi sguinzaglia dei bot scassinatori per seminare link e incrementare con la frode le proprie citazioni.
Per una curiosa coincidenza, questo meccanismo di caccia sfrenata alle citazioni è del tutto simile a quello che l’Anvur ha scatenato nel mondo della ricerca italiana.»
https://www.roars.it/un-viagra-vi-seppellira-lanvur-vittima-dei-suoi-stessi-algoritmi/
(ovvio, intendevo ASN)
L’ipotesi di De Nicolao è sensata, ma è più divertente pensare al “vendicatore mascherato”. ;)
D’accordo su tutto, ma vorrei puntualizzare una piccola differenza. Nel PageRank di Google è rilevante l’importanza del sito che ti cita. Con i criteri anvur essere citati su Nature o sul “Canicattì internazional jurnal” (senza offesa per gli abitanti di Canicattì) vale uguale. Sono contrario a priori ai criteri bibliometrici,ma questo è comunque indecente.
@ F. Sylos Labini. Non possono dimettersi e non li fanno dimettere perché anzitutto si dovrebbe già avere a disposizione una squadra di ricambio. Gli eventuali dimettendi, che avranno una rete di supporto (tipo quella degli acrobati del circo che hanno la rete sotto, dalla quale facilmente rimbalzano e non cadono), certamente non sarebbero d’accordo. Smantellare l’Anvur, riconoscere il flop, sarebbe politicamente controproducente nel clima politico attuale anche perché si dovrebbe rendere conto di finanziamenti consistenti (sottratti alle università). Ergo si fa finte di niente e si fa ogni tanto uno restyling della forma e del contenuto. Crui organizza gli “Stati Generali per la promozione all’estero della formazione superiore italiana” (il 28 marzo scorso). La maggior parte del personale universitario non ha tempo ed energie per occuparsi dell’Anvur e per informarsi.
E sì è proprio così, purtroppo la cosa desolante è la non reazione della comunità accademica.
Mi è venuta in mente una cosa, a proposito dell’improbabile scioglimento dell’Anvur, in connessione con il demagogico concetto di “rottamazione” messo in circolazione da Renzi. Per fare una piccola digressione, la “rottamazione di Dracula” (v. https://blog.matteorenzi.it/rottamare-dracula-e4716335dd67, testo renziano stilisticamente molto interessante) è un nonsense totale e un’immagine assurda, perché Dracula oramai è stato fatto immortale e certamente non sarà un politico a farlo soccombere. Ma scherzi a parte, la rottamazione generazionale, come si è visto, ma come si doveva già sapere, si è rivelata essere per quello che è, una falsità e un’intenzione irrealizzabile e non conveniente (diversamente, un Verdini, un Padoan e altri della loro generazione dovevano polverizzarsi all’istante, come il vampiro toccato dalla luce solare). Certamente ci saranno innumerevoli studi su cosa accade nella fase di transizione da un regime politico all’altro, o da un orientamento politico a un altro, ma anche solo desumendo da un’esperienza ridotta o da un ragionamento semplicistico, al fine di garantire non tanto una minima continuità storica quanto piuttosto un utilizzo (sia pure circospetto, sorvegliato, attentamente monitorato) di professionalità già esistenti (anche di quella degli intrallazzatori), la generazione precedente (per età o per esperienza) non può essere totalmente ignorata e messa da parte, semmai utilizzata strumentalmente all’inizio per poi sostituirla (non sto pensando necessariamente ai momenti di rottura violenti). Se guardiamo all’Anvur, la sua costituzione è stata guidata dall’applicazione severa e rigida della “rottamazione”? Ma proprio no! Sono state coinvolte, anzi messe alla guida, persone esperte, navigate, autorevoli nel loro settore di studi, che si sono prestate a questa nefasta sperimentazione su cavie umane. E i ricambi, a mandati scaduti, sono avvenuti sempre attingendo a quella generazione, dei professori ordinari (diciamola fino in fondo), che a fil di logica doveva essere sospettata di diventare un traghettatore di vecchie logiche, baronali e quant’altro.
Ipotizzo, nel più puro e sublime spirito complottista, che organizzino tutto loro per rendersi inaccessibili.
…l’unica è citare Totò: ma mi faccia il piacere!
Soprattutto, la prossima volta, un moto di orgoglio e mandiamoli una volta per tutte a quel paese… Che ne pensate?
Sembra che (a causa di questo articolo?) abbiano lavorato anche di domenica. Gli spam più clamorosi sono finalmente (dopo mesi) scomparsi. Magari ci ha messo finalmente le mani qualcuno che ne capiva qualcosa. Per chi fosse interessato questo è il documento di stipula del contratto con Informatica Umanistica (prot. n.186 – 25/1/2017) per restyling e reingenerizzazione del sito ANVUR (18.000 Euro)
______________
https://www.roars.it/wp-content/uploads/2017/04/stipula-RdO-prot.-186-201.pdf
______________
far in modo che le cose vengano sistemate, dalle mie parti si definisce “anche grazie a …” e non “a causa di …” ;)
Questa storia è in linea con i tempi. Il Peter Seller del Dr. Stranamore e di “Oltre il Giardino” è diventato realtà. Perché meravigliarsi se nel nostro piccolo abbiamo l’analogo di un padre Pizzarro, alias Corrado Guzzanti, che stabilisce le sorti universitarie a colpi di paradossi? https://www.youtube.com/watch?v=gUCidhpbQZo
Ch’hai fatto? Hai fatto ‘e cose zozze, ch’hai fatto? E dimme …